Тренды

78% атак
в 2023 году были целенаправленными
Топ-3 ВПО
которое злоумышленники используют прямо сейчас: шифровальщики, инфостилеры, ВПО для удаленного доступа
Угрозы для разных систем
Злоумышленники осуществляют активный поиск уязвимостей в российских ОС на базе Linux и расширяют возможности проникновения в разные ОС за счет портирования ВПО (языки Golang, Rust, Nim и др.)

Обзор MaxPatrol EDR

Одновременно с бурным развитием IT-инфраструктур компаний совершенствуются хакерские инструменты и техники, атаки злоумышленников становятся сложнее и могут обходить традиционные средства безопасности.

Чтобы вовремя их обнаруживать и уверенно реагировать, чрезвычайно важно понимать контекст происходящего на конечных устройствах, отслеживать угрозы в динамике, связывать отдельные события в целостную картину и формировать цепочки атак.

MaxPatrol EDR поможет оперативно выявлять сложные угрозы и целевые атаки, обеспечит уверенное реагирование и автоматизацию рутинных операций с учетом особенностей инфраструктуры и процессов построения ИБ в вашей компании.


На ранних этапах выявляет развивающиеся на устройствах атаки, которые могут пропустить другие средства ИБ.
Собирает важные данные для проведения расследований.
Останавливает злоумышленника за считанные секунды.
Помогает аналитикам SOC и руководителям служб ИБ расследовать и предотвращать атаки, блокируя действия злоумышленников на конечных устройствах.

Узнайте, как будем защищать конечные точки завтра

85% организаций не исключают компрометацию своей сети в течение года.
Уверены, что антивирус спасет от сложных атак?

Узнать

Ключевые возможности

Поддержка ОС

Все необходимые дистрибутивы под рукой.

Доступны в веб-консоли, можно развернуть с помощью инструментов для группового администрирования.

Все необходимые дистрибутивы под рукой

Сбор данных

Управление сбором событий с рабочих станций и серверов.

Установка и конфигурирование утилиты расширенного мониторинга, передача собранных данных по протоколу syslog, например для SIEM-системы, с возможностью предварительной фильтрации.

Управление сбором событий с рабочих станций и серверов

Обнаружение угроз

Обнаружение угроз на конечных устройствах, включая продвинутые техники атакующих:

  • эксплуатация уязвимостей;
  • повышение привилегий;
  • разведка и закрепление в системе и другие.

Обнаруженные техники маркируются в соответствии с матрицей MITRE ATT&CK.

Обнаружение угроз на конечных устройствах, включая продвинутые техники атакующих

Динамический и статический анализ

Политики передачи файлов в систему динамического и статического анализа, PT Sandbox и в другие внешние системы.

Реагирование на обнаруженные угрозы на основании вердиктов проверки.

Динамический и статический анализ

Работа с политикой (по умолчанию, выбор политики, создание) Учитывает особенности инфраструктуры. Позволяет гибко настроить политики обнаружения и реагирования с учетом архитектуры. Поддерживает идеальный баланс между нагрузкой на узлы и обеспечением требований SOC.

Реагирование

Реагирование на угрозы в ручном и автоматическом режимах:

  • изолирование узлов;
  • завершение процессов;
  • удаление вредоносных файлов;
  • блокировка опасных подключений;
  • дополнительный анализ подозрительных процессов.

Ручное реагирование: процесс

Реагирование

Ручное реагирование: результат

Ручное реагирование: процесс

Ручное реагирование: результат

Ручное реагирование: результат

Автоматическое реагирование: процесс

Автоматическое реагирование: процесс

Автоматическое реагирование: результат

Автоматическое реагирование: результат

Уникальные преимущества MaxPatrol EDR

Молниеносная реакция на узлах
Предоставляет богатый выбор действий для автоматического и своевременного реагирования: остановка процесса, удаление файлов, изоляция устройства, отправка на анализ, синкхолинг.
Своевременное и непрерывное обнаружение ВПО
Поставляется с набором экспертных правил PT ESC, благодаря чему способен выявлять угрозы и популярные тактики и техники злоумышленников из матрицы MITRE ATT&CK (топ-50 для Windows и топ-20 для Linux).
Обнаружение угроз в динамике
Обнаруживает атаки с использованием легитимных инструментов (PowerShell, WMI, CMD, BASH), которые могут пропустить традиционные средства защиты, основанные на сигнатурном анализе.
Легкое встраивание в инфраструктуры
Выступает в роли единого агента для обнаружения, реагирования, сбора телеметрии и информации об уязвимостях на узлах. Поддерживает работу на всех популярных операционных системах и в закрытых сегментах.

Подходит для различных организаций

Экономит ресурсы и время специалистов
Построение эшелонированной защиты на базе комплексных решений или интеграции нескольких продуктов не всегда вписывается в бюджет организации. МахРаtгоl ЕDR позволяет начать решать задачу защиты устройств сотрудников и организации без чрезмерных затрат, постепенно выстраивая процессы ИБ.
Не конфликтует с другими СЗИ
Организации могут использовать несколько защитных решений, дополняя экспертизу разных вендоров без влияния на бизнес-процессы.
Учитывает особенности инфраструктуры
Позволяет гибко настроить политики обнаружения и реагирования с учетом архитектуры. Поддерживает идеальный баланс между нагрузкой на узлы и обеспечением требований S0С.
Автоматизирует функции реагирования
Часто EDR-решения не предлагают автоматических реакций, кроме остановки процессов или удаления файлов.В МахРаtrol EDR вы можете управлять логикой и использовать все доступные опции реагирования как вручную, так и автоматически.
Работает в закрытых сегментах
Не требует для работы доступа в интернет. Поставка обновлений экспертизы возможна через промежуточный сервер для односторонней передачи.
Предоставляет привычную логику и интерфейс
МахРаtrol EDR создан в едином стиле продуктов Positive Technologies и предоставляет знакомые сущности, авторизацию, сервисы и кросс-продуктовые сценарии, обеспечивая пользователю легкий старт.

Как работает MaxPatrol EDR

Схема работы

Стоимость продукта

Права на использование программного изделия Positive Technologies Endpoint Detection and Response предоставляются на условиях правообладателя — АО «Позитив Текнолоджиз» по запросу.

Контактная информация

Материалы

Описание продукта
Документация на справочном портале
Руководство администратора на русском языке
Руководство разработчика на русском языке
Руководство быстрого старта на русском языке